尽管预算显著增加,但对安全支出的错误预期给一些首席信息安全官带来了问题。这是风险和网络安全解决方案提供商BSS公司对150名安全负责人进行调查后得出的结论。调查发现,虽然大多数首席信息安全官都经历了安全预算的显著增长,但预算持有者为了实现不切实际的期望导致大量资金浪费,却没有在安全防御方面进行战略性的、以业务为中心的投资。报告声称,这种缺乏理解的情况表明,需要做大量工作来确保信息安全得到应有的关注,尤其是在企业董事会。
根据BSS公司发布的《信息安全成熟度报告》,在受访的182名安全主管中,只有一半以上企业的安全预算比去年有所增加,尽管与前一年发布的报告相比,安全预算增长幅度较低。报告发现,导致支出增加的关键因素包括网络威胁形势的演变(39%)、跟上同行的步伐(21%)以及在招聘和培训方面的投资(18%)。
备受瞩目的网络攻击事件之后,首席信息安全官获得的预算大幅增加
根据BSS公司发布的名为《首席信息安全官如何在充满挑战的环境中取得成功》报告,总体而言,在BSS公司调查的安全主管中,61%的受访者表示他们的安全预算有所增加,其中年度安全预算在50万至100万英镑之间的首席信息安全官比例最高(73%)。大多数首席信息安全官表示,其平均增幅在10%到30%之间。报告称,或许最能说明问题的是,78%的首席信息安全官表示,在发生数据泄露和勒索软件攻击等引人注目的网络攻击事件之后,他们获得了额外的预算,这标志着企业对信息安全的态度正在发生变化。
然而BSS公司表示,由于预算增加,超过一半(55%)的首席信息安全官不得不将这些资金用于解决媒体报道的安全问题,而不是做出更具策略性的业务决策。BSS公司安全主管Chris Wilkinson表示,这通常是预算持有者在不完全了解企业面临的威胁时具有不切实际的期望的表现。他说,“我们的研究表明,更广泛的企业对当前的威胁形势以及预算应该花在哪里缺乏了解,这是一个问题。”
网络安全不是企业董事会的首要议程,而首席信息安全官在董事会中缺乏发言权
研究报告指出,网络安全问题在企业董事会议程上往往不够重要,加剧了这一问题。只有9%的首席信息安全官表示,信息安全始终是企业董事会议程的三大优先事项之一,不到四分之一(22%)的首席信息安全官积极参与业务战略和决策过程。
BSS公司表示,为了实现这一转变,首席信息安全官需要利用安全意识的提高来发挥自己的优势。报告称:“对于安全部门领导者来说,这是一个很好的机会,可以让企业董事会了解最严重的威胁,以及这些威胁如果不加以解决可能对业务造成的影响。”
对于首席信息安全官来说,以一种富有成效的方式与企业董事会讨论网络安全问题可能是一项重大挑战,如果不能有效地做到这一点,可能会导致企业董事、安全职能部门和企业其他部门之间的混乱、幻灭以及缺乏凝聚力。首席信息安全官在向企业董事会沟通时经常犯的错误包括使用过于技术性的安全语言,关注错误的威胁影响,未能为潜在问题做好准备,以及依赖开箱即用的网络风险报告。
今年3月,英国国家网络安全中心(NCSC)发布了《董事会网络安全工具包》,其中包括旨在帮助企业董事会成员更有效地了解和管理网络风险的资源。